1. Meer bestandsloze aanvallen

Vandaag komen bestandsloze aanvallen sporadisch voor, maar dergelijke malware lijkt steeds meer gemeengoed te worden (Poweliks, Angler for a bit , Kovter en onlangs Powmet). Dat is een natuurlijk gevolg van het wijdverbreide gebruik van machine learning. Er zal welicht ook steeds meer misbruik van Powershell worden gemaakt.

2. Slimme fuzzing voor iedereen

Fuzzing zal steeds beter en gerichter worden. Bij fuzzing genereert men automatisch miljarden “domme” tests. De volgende stap is om deze tests slimmer te maken. Dat doe je door het testcreatieproces informatie te geven over hoe een programma werkt. Je kunt programmeercode automatisch verkennen, maar dat is érg moeilijk. Met behulp van hybride technieken wordt geprobeerd om “domme” (maar snelle) tests te combineren met de efficiëntie van slimmere testprocessen. Tegelijkertijd moet vermeden worden dat het testproces vastloopt door een overdaad aan keuzes. Er bestaan al diverse interessante technieken waarvan bewezen is dat ze fuzzing efficiënter kunnen maken. Niet uitgesloten is dat er er binnenkort een doorbraak komt: al deze verschillende technieken zullen worden gecombineerd en openbaar gemaakt.

3. Vraag wie en wat, niet waar

Traditioneel richt beveiliging zich op het volledige domein. Doordat de grenzen van traditionele netwerken en het Internet steeds meer vervagen, richten we ons nu vooral op de assets en de identities binnen een domein. Je bepaalt dus een risicoprofiel op basis van een identity en de assets gekoppeld aan die bepaalde identiteit. Bij meldingen op basis van die factoren weet je wat er op het spel staat, en kun je snel en op gepaste manier ingrijpen.

4. Focus op exploit mitigation

Patching kun je niet langer uitstellen tot de boel vastloopt of tot je eens een rustig dagje hebt? Wie zijn zaakjes voor elkaar wil hebben, zal de komende zes tot twaalf maanden aandacht moeten besteden aan een goede exploit mitigation: bescherming tegen misbruik van bekende of onbekende bugs en zwakke punten, en de onderliggende manier waarop aanvallers profiteren van deze bugs en zwakke punten. Veel nieuwe software-leveranciers richten zich uitsluitend op het detecteren van draagbare uitvoerbare bestanden (PE-files). Dat baart zorgen. Ze stellen automatisch leren voor als het alfa en omega van endpoint-beveiliging, terwijl dat absoluut niet zo is. Machine learning is weliswaar geweldig, maar het is maar één enkele laag, terwijl een efficiënte beveiliging juist veschillende lagen moet hebben.

5. Ransomware, maar dan anders

Op basis van enkele recente trends is een verschuiving waar te nemen in de manier waarop ransomware wordt gebruikt. In tegenstelling tot de meeste andere malware maakt ransomware vooral veel lawaai. Het is bedoeld om je bang te maken: als de gebruiker niet weet dat hij ransomware op zijn computer heeft, kom je als aanvaller nergens. Beveiligings-tools slagen er steeds beter in om ransomware op te sporen, maar sommige aanvallers gebruiken deze lawaaierige malware als dekmantel voor iets anders, of als laatste poging nadat ze al op een andere manier geld aan je hebben verdiend (bijvoorbeeld met keyloggers of programma's die je computer gebruiken om crypto-currency aan te maken). Vaak verwijderen gebruikers de irritante ransomware en denken dan dat hun computer niet langer geïnfecteerd is. Terwijl je je juist moet afvragen: waarom precies op dit moment? Was (of is!) de computer waar we de ransomware hebben aangetroffen, mogelijk ook geïnfecteerd met andere malware?

6. Bekijk gegevens als een verantwoordelijkheid, niet als een aanwinst

In de komende zes maanden zullen we vooral veel tijd spenderen aan het verwijderen van onnodige gegevens en in het algemeen goed moeten opletten welke gegevens we opslaan en waar. Het is een belangrijke beschermingsmaatregel: gegevens die je niet opslaat, kun je ook niet kwijtraken! Die regel gaat op voor bedrijven, maar (wellicht nog belangrijker) ook voor “open” assets als web servers. Die zouden enkel toegang mogen krijgen tot de gegevens die ze minimaal nodig hebben en niets meer. Waarom zou een web server toegang moeten hebben tot je sociale zekerheidsnummer? Misschien heb je die gegevens nodig om een andere reden en het kan best een keer gebeuren dat een web server een sociale zekerheidsnummer moet opvragen. Maar is er echt een reden om dat soort gegevens te bewaren?

(Bovenstaande bijdrage kwam tot stand in samenwerking met Sophos Benelux)

Meer info: 00-31/162.480.240 of https://www.sophos.com.